Ausgewählte Checklisten, Merkblätter und Muster, die Verantwortliche beim Datenschutz  unterstützen

[datensicherheit.de, 10.07.2018] Seit dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) verbindlich anzuwenden, insebesondere auch für Webseiten und Online-Shops. Unternehmen, die solche betreiben, sollten diese, wenn nicht schon geschehen,  jetzt zeitnah an die neuen Vorgaben anpassen, denn bei nahezu jedem Webseiten-Besuch werden Daten der Besucher erhoben, gespeichert und weiterverarbeitet – sei es im einfachen Kontaktformular, in einer Shop-Bestellung oder bei Webanalysen.

Hohe Bußgelder möglich

Ein „falscher“ Umgang mit sensiblen (personenbezogenen) Daten, ein unbedachter Versand von Newslettern oder der Einsatz fremder Inhalte wie Plug-ins bzw. Bilder – das alles kann ab sofort schnell ganz unangenehme Folgen haben.

Spannungsfeld zwischen technischen Abläufen und Informationspflichten

Damit sich Unternehmen im Spannungsfeld zwischen technischen Abläufen, notwendigen Datenerhebungen und Informationspflichten gegenüber ihren WebseitenBesuchern und Kunden sicherer bewegen, gibt es jetzt die neue „Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop“.

Bild: FORUM VERLAG HERKERT GMBH

Digitale Vorlagenmappe

Die digitale Vorlagenmappe, die in der Forum Verlag Herkert GmbH erscheint, bietet ausgewählte Checklisten, Merkblätter und Muster, die Verantwortliche dabei unterstützen, die datenschutz- und wettbewerbsrechtlichen Vorgaben in die Praxis umzusetzen – von der Datenschutzerklärung bis hin zur Newsletter-Einwilligung.

Weitere Informationen zum Thema: 

FORUM VERLAG HERKERT GMBH
Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

Entstandene Schäden zwischen 41.000 und 360.000 Euro

[datensicherheit.de, 13.11.2014] Weit mehr als ein Drittel (38 Prozent) der Unternehmen, die von einem Online-Dienst wie beispielsweise einem Online-Shop abhängig sind, wurden innerhalb eines Jahres Opfer einer DDoS-Attacke. Neue Technologien und präventive Maßnahmen unterstützen Unternehmen dabei, Folgeschäden und Reputationsverlust zu vermeiden. Diese Erkenntnisse gehen aus einer Analyse über wirtschaftlich motivierte DDoS-Attacken hervor, die Kaspersky Lab auf Basis einer weltweiten Umfrage von B2B International durchgeführt hat [1].

Bild: Kaspersky Lab

DDoS Angriffs-Szenarien

In der Regel werden bei DDoS-Angriffen (DDoS – Distributed Denial of Service) Unternehmensserver über eine Botnetz-Infrastruktur mit unzähligen sinnlosen Anfragen überlastet. Die Erreichbarkeit eines Online-Dienstes kann so eingeschränkt werden oder zusammenbrechen.

„Zum einen können DDoS-Attacken von Unternehmen in Auftrag gegeben werden, um einen Konkurrenten zu schwächen“, weiß Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab. „Zum anderen setzen Cyberkriminelle DDoS-Attacken ein, um angegriffene Webseiten außer Gefecht zu setzen und Unternehmen anschließend zu erpressen. Erst bei der Bezahlung eines bestimmten Betrages wird die Attacke gestoppt.“

DDoS-Attacken keine Einzelfälle

Die Untersuchung von Kaspersky Lab zeigt: Vor allem Unternehmen, die Online-Dienste wie Online-Shops oder Online-Medien anbieten, hatten im zwölfmonatigen Untersuchungszeitraum mit DDoS-Attacken zu kämpfen – nämlich 38 Prozent der von Kaspersky Lab befragten Unternehmen. Das entspricht einer Steigerung von 20 Prozentpunkten im Vergleich zu den Umfrageergebnissen aus dem Vorjahr. Betrachtet man die Online-Dienste betreibenden Unternehmen näher, zeigt sich folgende Top 5, der am häufigsten via DDoS angegriffenen Branchen:

• IT und Technologie; 49 Prozent per DDoS attackiert
• E-Commerce; 44 Prozent per DDoS attackiert
• Telekommunikation; 44 Prozent per DDoS attackiert
• Medien; 42 Prozent per DDoS attackiert
• Baugewerbe; 40 Prozent per DDoS attackiert
• Finanzen; 39 Prozent per DDoS attackiert

Die Studie zeigt auch: Der durchschnittliche Schaden, der durch DDoS-Attacken verursacht wird, beträgt bei mittelständischen Unternehmen 41.000 Euro und bei großen Organisationen rund 360.000 Euro. Die Kosten beinhalten kurzfristige und langfristige Ausgaben. 65 Prozent der von DDoS-Angriffen betroffenen Unternehmen mussten IT-Sicherheitsberater anheuern. 61 Prozent hatten zeitweilig keinen Zugang zu geschäftskritischen Informationen und knapp die Hälfte (49 Prozent) mussten reaktiv Geld für Software oder Infrastruktur ausgeben.

Weitere mögliche Langzeitfolgen: 38 Prozent der betroffenen Unternehmen gehen davon aus, dass derartige Angriffe zu einem Reputationsverlust der eigenen Firma geführt haben. Weitere 29 Prozent sehen dadurch ihre Kreditwürdigkeit geschädigt und ein Viertel (26 Prozent) ist der Meinung, dass ihre Versicherungsprämien im Zuge einer DDoS-Attacke in die Höhe gingen.
Da DDoS-Angriffe und die damit verbundenen Botnetze zum Standartrepertoire von Cyberkriminellen zählen, sollten sich gerade im Web präsente Unternehmen mit dem Problem beschäftigen, um sich gegen einen potenziellen Geschäftsverlust adäquat zu schützen.

„Gerade in der heutigen Zeit können DDoS-Attacken einfach und kostengünstig durchgeführt werden. Entsprechende Ressourcen sind leicht über das Internet ausfindig gemacht. Zudem ermöglicht die Bezahlung mittels Kryptowährung, die Identität eines Auftraggebers zu verschleiern“, ergänzt Christian Funk.

Weitere Informationen zum Thema:

[1] Die Umfrage wurde von B2B International im Auftrag von Kaspersky Lab im Jahr 2014 durchgeführt. Dafür wurden rund 3.900 IT-Entscheider aus 27 Ländern befragt – u.a. 194 deutsche. Es wurden Organisationen und Unternehmen jeglicher Größe erfasst. Die Studie ist eine Fortführung von drei früheren B2B International-Umfragen, die Kaspersky Lab mit ähnlichen Themen bereits in den Jahren 2011, 2012 und 2013 beauftragt hatte. Ein dedizierter Bericht über DDoS-Attacken auf Basis der Umfragedaten ist unter http://media.kaspersky.com/en/B2B-International-2014-Survey-DDoS-Summary-Report.pdf abrufbar.

datensicherheit.de, 21.10.2014
ddosfrei.de: Providerinitiative für sichere Server

datensicherheit.de, 23.07.2014
Prolexic Global DDoS Attack Report: Akamai veröffentlicht Bericht für das zweite Quartal 2014

datensicherheit.de, 19.03.2014
Network Time Protocol: Massive Zunahme verstärkter DDoS-Attacken im Februar 2014

Deutschsprachige Malware-E-Mails zielen auf Kunden des beliebten Online-Shops ab

[datensicherheit.de, 14.03.2013] Das Research-Team von Eleven, führender deutscher E-Mail-Sicherheitsdienstleister, warnt vor einer aktuellen Welle gefährlicher E-Mails, die sich gezielt an Kunden des beliebten Online-Versandhändlers Zalando.de wenden. Die E-Mails haben Betreffzeilen wie „Ihre Bestellung finden Sie im Anhang. Zalando.de“ oder „Zalando.de – Ihre Bestellung vom 11.12.2013“ und geben vor, im Anhang Bestellbestätigungen des Online-Shops zu enthalten. Die E-Mails sind sehr kurz gefasst, verzichten auf Logos und andere gestalterische Elemente, enthalten aber eine Unterschrift mit der tatsächlichen Adresse des Unternehmens. Der Anhang ist als Bestellung.zip bezeichnet. Die Zip-Datei enthält die ausführbare Datei Zalando-Bestellung.exe, deren Öffnen den Trojaner W32/Trojan.TOPZ-6677 aktiviert.

Bild: Eleven GmbH

Beispiel:  E-Mail einer angeblichen Bestellung im beliebten Online-Shop

Eleven rät Nutzern, solche E-Mails sofort zu löschen und in keinem Fall den Dateianhang anzuklicken. Wenn Nutzer nicht sicher sind, ob sich die E-Mail nicht vielleicht doch auf eine tatsächliche Bestellung bezieht, sollten sie den Kundenbereich der Website des Online-Shops aufsuchen oder den Anbieter direkt kontaktieren. Die Malware-Kampagne ist ein weiteres Beispiel für die Zunahme länderspezifischer Spam- und Viren-Wellen, die oftmals im Zielland besonders populäre Marken als Köder einsetzen.

[datensicherheit.de, 30.11.2011] Mit dem Beginn der Adventszeit 2011 kaufen viele die ersten Weihnachtsgeschenke – nach Angaben des BITKOM erledigt jeder dritte Deutsche seine Einkäufe im Internet.
Cyber-Kriminelle nutzen diese Tendenz und greifen Internetnutzer bei der Geschenkesuche gezielt an. Dabei erhalten Anwender u.a. gefälschte E-Weihnachtskarten oder -Mails mit vermeintlich günstigen Angeboten von Luxus-Uhren oder teuren Designer-Schuhen. Klickt der Nutzer die in der E-Mail eingebundenen Links oder Dateianhänge an, tappt er direkt in die Schadcodefalle. Die Kriminellen hätten es dabei insbesondere auf persönliche Informationen, wie Benutzerkonten von Online-Banking-Seiten oder Kreditkartendaten, abgesehen, warnt G DATA:
Cyber-Kriminelle machten in der Vorweihnachtszeit gezielt Jagd auf Internetnutzer, erklärt Ralf Benzmüller, Leiter der „G Data SecurityLabs“. Dabei wendeten sie verschiedene Maschen an, um ahnungslose Anwender mit Schadprogrammen zu infizieren und deren persönliche Daten, z.B. Online-Banking- oder Kreditkarteninformationen auszuspionieren. Nutzer sollten daher u.a. auf den Einsatz einer effektiven und umfassenden Sicherheitslösung achten und Online-Shops vor dem Bestellvorgang genau auf Seriosität und Sicherheit prüfen.

[datensicherheit.de, 20.09.2011] Ursprünglich wurde „Angry Birds“ nur als App-Game für „Apple iOS“-Nutzer von Touchscreen-Smartphones entwickelt. In dem Spiel geht es darum, mit Hilfe einer Vogel-Schleuder verschiedenfarbige Schweine zu treffen, die sich in diversen Gebäuden verschanzt haben. Mittlerweile sind die „bösen Vögel“ auch für PCs und Spielkonsolen erhältlich. „Angry Birds“ zählt derzeit zu den erfolgreichsten Spielen weltweit – nach eigenen Angaben registrierten die Hersteller zeitweise bis zu eine Million Downloads am Tag; insgesamt sei das Spiel bereits mehr als 200 Millionen Mal heruntergeladen worden.
Doch wie bei so vielen Erfolgsgeschichten aus dem World Wide Web, versuchten aktuell auch „Cyber-Gangster“ ihren Profit aus „Angry Birds“ zu schlagen:
Der Virenschutz-Experte Bitdefender habe vor Kurzem den digitalen Schädling „Trojan.Generic.KD.337850“ in einem Online-Shop, der „Angry Birds“-Fanartikel verkauft, entdeckt. Die entsprechende Website mit „Angry Birds“-Fanartikeln sei gezielt von Hackern mit Malware verseucht worden – allerdings aufgrund der schnellen Reaktion der Administratoren des Shops mit wenig Erfolg. Die Website sei schnell wieder gesäubert worden, so dass bislang kein Anwender seinen Rechner nachweislich mit dem „E-Threat“ infiziert habe.
Auch wenn die Gefahr für den besagten Web-Shop akut nicht mehr bestehe, zeige dieser Angriff, dass Online-Shopper sehr aufmerksam sein sollten und ihre Rechner mit einer guten Sicherheitssoftware, die in Echtzeit die besuchten Internetseiten auf Malware-Infizierungen hin überprüft, schützen, rät Catalin Cosoi, „Head of Online-Threats“ bei Bitdefender.